Cette article est de la catégorie Innovation et du dossier Identity Management

Swiss edu-ID : quid de la responsabilité ?

Qu'advient-il lorsque le passepartout universitaire est utilisé de manière abusive ? Ou qu'un attribut est incorrect ?

Texte: Esther Zysset, publié le 03.11.2015

En lien avec le passepartout Swiss edu-ID se pose entre autres la question de la responsabilité : qui doit endosser la responsabilité en cas d'éventuel dommage causé par l'utilisation de l'identité ? Par exemple du fait d'attributs erronés ou d'une utilisation abusive de la Swiss edu-ID ? Dans ce dernier cas, le principe est celui de la responsabilité de l'utilisateur : l'on considère que celui-ci n'a pas suffisamment protégé ses données d'accès et qu'il a ainsi pris le risque qu'un tiers accède à sa Swiss edu-ID, à moins que l'utilisation abusive de l'identité soit due à une lacune de sécurité du Service Operator (SWITCH). C'est alors ce dernier qui endosse en principe la responsabilité.

 

Le cas d'un attribut erroné est cependant plus intéressant d'un point de vue juridique. Admettons qu'une information utilisée pour justifier d'une autorisation se révèle erronée a posteriori. Se pose alors la question de savoir qui du Service Operator, de l'utilisateur ou de la source de l'attribut (Attribute Authority) doit en répondre.

Niveau d'assurance

La réponse à cette question dépend de la qualité de l'information liée à l'attribut, ou autrement dit des conclusions pouvant en être tirées au regard de la vérification et de l'exactitude, donc du niveau d'assurance (LoA) que présente un attribut. Il serait possible, en termes plus simples, de comparer les niveaux d'assurance au système d'étoiles applicable aux hôtels ou aux catégories A-G caractérisant la consommation énergétique des appareils électriques. Chaque catégorie correspond à un classement selon des critères de qualité prédéfinis. Toutefois, il n'existe à l'heure actuelle aucun niveau d'assurance généralement contraignant dans les Identity Federations de l'enseignement supérieur, ni au niveau national, ni au niveau international. En effet, la condition nécessaire à cet égard serait qu'il existe des directives généralement reconnues sur la qualité des informations contenues.

En l'absence de normes, il faut rechercher quelles conclusions peuvent être tirées de l'attribut : un tiers peut-il partir du principe que l'information est juste ou doit-il la vérifier lui-même ?

Code des obligations

En l'absence d'un niveau d'assurance contraignant, la norme juridique en Suisse est celle prévue par les dispositions habituelles du CO en matière de responsabilité. La responsabilité aggravée pour les dommages en lien avec la signature électronique qualifiée (art. 59a CO) ne s'applique pas ici. En conséquence, SWITCH devra certainement répondre à l'égard de parties tierces en tant que Service Operator pour les attributs provenant de sources vérifiées (actuellement l'AAI – même s'il n'existe aucun niveau d'assurance contraignant pour cela), ainsi que pour les attributs générés par SWITCH même. SWITCH va devoir s'assurer, dans les contrats avec les hautes écoles, que celles-ci répondent en tant qu'Attribute Authorities de l'exactitude des attributs qu'elles ont fournis.

En revanche, pour les attributs fournis par l'utilisateur lui-même (self-supplied [ou self-asserted]), ce dernier sera celui dont la responsabilité pourra être engagée à l'égard des tiers dans le cadre de l'utilisation de la Swiss edu-ID.

Autres articles sur des questions juridiques en rapport avec la Swiss edu-ID :
L'auteur
Esther   Zysset

Esther Zysset

Esther Zysset dirige le service juridique chez SWITCH depuis 2012. Précédemment, elle travaillait comme avocate dans une étude économique.

E-mail

Swiss edu-ID

SWITCH est en train de créer, en collaboration avec les hautes écoles suisses, une identité numérique valable à vie. Grâce à elle, tous les titulaires pourront avoir accès à des services universitaires. Plutôt que d’avoir plusieurs identités pour des accès différents, ils n’en auront plus besoin que d’une seule. La Swiss edu-ID est une évolution de SWITCHaai, mis en place il y a dix ans et utilisé par plus de 400 000 personnes. La Swiss edu-ID représente une avancée décisive : SWITCHaai a été conçu pour l’utilisation de ressources web et présuppose l’appartenance à une institution. En revanche, la Swiss edu-ID a été créée pour être utilisée de manière plus globale et en tant qu’identité durable.

http://projects.switch.ch/eduid/
Autres articles